Europa se prepara para proteger los dispositivos radioeléctricos
La ciberseguridad en los equipos y dispositivos radioeléctricos es uno de los grandes hitos marcados por la Comisión Europea en los próximos años. Conscientes de la importancia de estos dispositivos y su cada vez mayor uso por parte de ciudadanos; la creación de un marco jurídico que acote y armonice las medidas a cumplir por parte de fabricantes que deseen comercializar sus productos en el espacio europeo es una prioridad.
Existen varios puntos que preocupan especialmente en la Comisión Europea en materia de seguridad que pueden resumirse en cuatro:.
5G: Hace unas semanas explicábamos en nuestro blog "La certificación de ciberseguridad en el 5G” la importancia de esta nueva tecnología y cómo podría afectar el uso del 5G a numerosos dispositivos, entre ellos, un gran número perteneciente al espectro radioeléctrico.
El aumento de los riesgos de ciberseguridad como consecuencia del mayor uso por parte de profesionales y consumidores, incluidos los niños, de equipos radioeléctricos que se comunican por Internet.
Preocupación por la protección contra los daños a la red, la protección de datos personales y la privacidad de los usuarios y de los abonados, así como la protección contra el fraude.
La protección de la ciberseguridad de los productos sanitarios.
Por ello, hace apenas un mes se publicó el Reglamento Delegado (UE) 2022/30 de la Comisión de 29 de octubre de 2021, que completa la Directiva 2014/53/UE relativa a la armonización de las legislaciones de los Estados miembros sobre la comercialización de equipos radioeléctricos que exigirá ciertos requisitos de ciberseguridad, aunque aún están por determinar en base a lo que se acuerde en los grupos de trabajo encargados de la estandarización.
¿Cuándo será aplicable y qué pasos se han de seguir?
Esta norma será aplicable a partir del 1 de agosto de 2024, por lo que, actualmente, las ESOs (The European Standardisation Organisations) se encuentran trabajando en su estandarización mediante diferentes grupos de trabajo especializados en las distintas áreas que componen la norma. En jtsec nos sentimos muy orgullosos de formar parte del grupo de trabajo que ayudará a la estandarización de los requisitos de ciberseguridad que se apliquen en dicha Directiva.
Los próximos pasos a seguir por parte de los organismos y empresas implicados en el proceso de estandarización y, que deberán ser cumplidos antes del 1 de Ocubre de 2023, son los siguientes:
Recibir y tramitar la solicitud de estandarización.
Desarrollo de los estándares necesarios.
Revisión de dichos estándares.
Aprobación.
Publicación de los estándares.
Requisitos esenciales de fabricación de los equipos radioeléctricos
Según dicha normativa existen varios requisitos a cumplir por los fabricantes de equipos radioeléctricos que quieren comercializar sus productos/servicios en la Unión Europea. Para ello, los equipos radioeléctricos se fabricarán garantizando:
La protección de la salud y la seguridad de las personas y los animales domésticos, y la protección de los bienes, incluidos los objetivos respecto de los requisitos en materia de seguridad establecidos en la Directiva 2014/35/UE, pero sin aplicar límites de tensión.
Un nivel adecuado de compatibilidad electromagnética con arreglo a la Directiva 2014/30/UE.
Asimismo, los equipos radioeléctricos se fabricarán de manera que hagan y favorezcan un uso eficiente del espectro radioeléctrico a fin de evitar interferencias perjudiciales.
Por lo tanto, los equipos radioeléctricos correspondientes a determinadas categorías o clases se fabricarán de manera que cumplan los requisitos esenciales siguientes (entre ellos algunos requisitos de ciberseguridad):
El equipo radioeléctrico interactúe con accesorios, en particular con los dispositivos de carga comunes.
El equipo radioeléctrico interactúe con otros equipos radioeléctricos a través de redes
El equipo radioeléctrico pueda conectarse a interfaces del tipo adecuado en toda la Unión.
El equipo radioeléctrico no dañe la red ni su funcionamiento ni utilice inadecuadamente los recursos de la red de manera que cause una degradación inaceptable del servicio.
El equipo radioeléctrico contenga salvaguardias que garanticen la protección de los datos personales y la privacidad del usuario y del abonado.
El equipo radioeléctrico sea compatible con determinadas funcionalidades que garanticen la protección contra el fraude.
El equipo radioeléctrico sea compatible con determinadas funcionalidades que garanticen el acceso a servicios de emergencia.
El equipo radioeléctrico sea compatible con determinadas funcionalidades que faciliten su utilización por parte de usuarios con discapacidad.
El equipo radioeléctrico sea compatible con determinadas funcionalidades que garanticen que solo pueda incorporarse software si ha quedado demostrada la conformidad de la combinación de equipo radioeléctrico y software.
Conclusiones
Aunque aún no sabemos con certeza los requisitos de ciberseguridad que serán incluidos en la futura en la futura Directiva, y que los fabricantes deberán empezar a integrar en el ciclo de vida de sus productos, sí que podemos intuir que se no distarán mucho de ciertas normas vigentes en la actualidad como IEC 62443-4-1 o IEC62443-4-2 o ETSI.
Estas normas, dirigidas al sector industrial, pueden servir de guía a los fabricantes para tener una idea de qué tipo de requisitos de ciberseguridad se les pueden aplicar a sus equipos/productos.
